IEC-62443: come aumentare la sicurezza di rete?

della Redazione

“Oggi la funzionalità DHCP è disponibile sulla maggior parte dei dispositivi di rete.  Tuttavia, DHCP non è sicuro e le operazioni possono essere interrotte in maniera semplice e senza competenze avanzate di cyber attacco. Una delle metodologie di attacco più comuni è lo spoofing DHCP, un attacco cibernetico emesso da un server DHCP mascherato (rogue server) che si sostituisce alle normali transazioni DHCP. 

Come difendere quindi la rete con l’uso di protocolli DHCP o ARP?

Risponde Alessandro Damian, Marketing Manager di Contradata

Il Protocollo DHCP è estremamente pratico e ampiamente utilizzato in applicazioni industriali, ma non è sicuro per sua natura e le sue vulnerabilità richiedono un’attenzione immediata. La funzionalità DHCP snooping ne aumenta sensibilmente il livello di sicurezza, garantendo che le configurazioni di rete siano fornite correttamente. Contro gli attacchi di ARP Spoofing, la funzione di sicurezza di rete Dynamic ARP Inspection svolge poi un ruolo importante per la continuità in applicazioni di comunicazione industriale. Un indirizzo IP deve infatti essere risolto in indirizzo MAC prima che il messaggio possa essere inviato e a questa funzione assolve proprio l’Address Resolution Protocol (ARP), mostrandosi dunque fondamentale del networking IP. Considerata però la sua intrinseca vulnerabilità, è essenziale dotarsi di adeguate misure di difesa. 

Questo è il meccanismo: quando un client DHCP richiede un indirizzo IP trasmettendo un messaggio “DISCOVER” per trovare un server DHCP sulla LAN, la richiesta può raggiungere sia il server legittimo, sia il server mascherato. Entrambi i server inviano il loro messaggio “OFFER” con un indirizzo IP. Tuttavia, il client accetta solo l’IP che viene restituito per primo. Se il client accetta l’indirizzo IP dal server mascherato, il sistema è hackerato.

Come difendersi?

DHCP Snooping è una caratteristica di sicurezza implementata su prodotti di rete come switch e router con lo scopo di proteggere l’infrastruttura DHCP. Come indicato dal nome stesso, esso “controlla”  che i messaggi DHCP provengano da un server legittimo, convalida quindi il carico utile, inoltra i messaggi corretti e scarta quelli sbagliati. Garantisce inoltre che le configurazioni di rete siano fornite correttamente. Gli switch di rete e i router con funzionalità DHCP Snooping svolgono due funzioni. Innanzitutto, i messaggi DHCP vengono prelevati, convalidati e filtrati. In secondo luogo, i messaggi validi vengono inoltrati solo ai server attendibili e solo le configurazioni che provengono da fonti attendibili vengono fornite ai client. Ciò riduce notevolmente il problema degli attacchi DHCP.

Attacchi al protocollo ARP 

ARP (Address Resolution Protocol) è un ulteriore protocollo fondamentale per il networking IP. È richiesto da tutti i dispositivi di rete per risolvere la mappatura IP-to-MAC prima di avviare la comunicazione IP. Tuttavia, ARP non è sicuro e non è protetto da alcun meccanismo di sicurezza informatica. Un utente malintenzionato può inviare messaggi ARP falsificati per sovrascrivere una mappatura IP-to-MAC. Questa metodologia di attacco è nota come ARP Spoofing.

ARP Spoofing 

Molto spesso gli hacker utilizzano ARP Spoofing per reindirizzare il traffico come punto di partenza di altri attacchi, ad esempio, ispezionando il contenuto (spionaggio) o modificando il contenuto prima di inoltrarlo alla destinazione effettiva (attacco man-in-the-middle) o assumendo il ruolo di gateway predefinito per interrompere la comunicazione (attacco deny-of-service). Il diagramma seguente mostra quanto sia semplice per l’Host C (10.0.0.3, sulla porta dello switch 3) intercettare i pacchetti IP che puntano all’Host B tramite ARP Spoofing. L’host C trasmette una mappatura IP-to-MAC costruita (indirizzo IP di B e indirizzo MAC di C), che sovrascrive la corretta mappatura nella tabella ARP di tutti gli host e la tabella degli indirizzi MAC dello switch. Questo attacco fa inoltrare i successivi pacchetti IP che dovrebbero essere indirizzati all’host B all’host C.

Come prevenire gli attacchi ARP?

Dynamic ARP Inspection è una funzionalità di sicurezza di rete presente su switch o router Ethernet avanzati. Intercetta i messaggi ARP, convalida la mappatura IP-to-MAC, inoltra i messaggi validi e scarta quelli non validi. Assicura che solo la corretta mappatura IP-to-MAC possa entrare nella rete, quindi impedisce gli attacchi di spoofing ARP. Come funziona Dynamic ARP Inspection? L’host A invia una richiesta ARP. Lo switch intercetta e confronta l’IP di origine e l’indirizzo MAC di origine del messaggio con un database attendibile, che può essere creato manualmente o tramite snooping DHCP. Il messaggio viene inoltrato solo se la mappatura è corretta. L’attacco di spoofing ARP da parte dell’Host C viene eliminato perché la mappatura da IP-to-MAC non corrisponde.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.